[护网杯 2018]easy_tornado

前言

刷BUUCTF刷到这道模板注入，觉得挺有意思，拿来记录一下

解题过程

点开容器，直接查看flag.txt

看到说文件在/fllllllllllllag里，再看URL参数

http://4f857a3a-55cf-4f3a-99c4-5c58e647fe07.node3.buuoj.cn/file?filename=/flag.txt&filehash=3dcf426b5fd29739ae9a7995e904fd9c

尝试修改filename

 

改完之后发现报错

 

 

 

发现参数写着Error对应网页显示的内容

修改后发现对应存在

 

 

怀疑是存在模板注入，百度一下，我就知道

因为题目提到了tornado还有render，所以搜了一下，了解了一下tornado的工作原理

看到一篇关于tornado模板注入的文章，了解知道可以利用{{表达式或者字符}}进行注入，那么根据文章提到的handler.settings爆出一些环境变量，决定尝试

https://www.cnblogs.com/cimuhuashuimu/p/11544455.html

 

 

 

 

 

在把参数修改为{{handler.settings}}后得到：

 

 

 接下来就不说了，很简单